Для алгоритмов MD5 и SHA-1 следующее верно: НМАС — это алгоритм идентификации с секретным ключом. Удостоверение происхождения данных и их сохранности, обеспечиваемое НМАС, зависит от способа распространения секретного ключа. Если ключ НМАС известен только отправителю и получателю, то этот алгоритм обеспечивает идентификацию пакетов, посланных между этими двумя сторонами. Если переданная и вычисленная величины...

Создание заголовка для туннельного режима IPSec описывает обработку внутреннего и внешнего заголовков, заголовков расширений и настроек туннелей АН и ESP. Сюда входит создание внешнего IP-заголовка, обработка полей внутреннего IP-заголовка, и другие необходимые действия. Основная идея взята из описания в RFC 2003, «Встраивание IP с помощью IP» (IP Encapsulation with IP)...

Он создается у отправителя следующим образом. Первое — генерируется заголовок ESP. Затем к нему добавляются пользовательские данные (полезная нагрузка). После этого создается кон-цевик ESP и добавляется к данным. В этом концевике находится номер протокола внедренного пакета (такой как TCP или UDP), или, если используется туннельный режим, это значение будет содержать номер IP-B-IP (4). Кроме того, концевик ESP...

Значок туннеля обозначает одну или более ассоциаций безопасности, а пунктирная линия — узлы IPSec, участвующие в передаче, а также логический поток данных IPSec. Сплошная линия представляет физический поток данных. Для простоты концевик ESP и поле MAC (за ULP) не приводятся в этих примерах. Случай 1 показан на 9.11. Он разрешает использование между хостами как транспортного...

Если необходимо, то повторная сборка выполняется перед обработкой ESP. Если пакет, пришедший на обработку ESP, является фрагментом, то есть поле смещения фрагмента не равно нулю или установлен флаг, указывающий, что должны прийти еще фрагменты, то тогда получатель должен отвергнуть такой пакет и сообщить об ошибке. Запись об этом должна содержать значение SPI, дату и время получения, адрес отправителя, адрес получателя...

ESP был опубликован в двух «версиях». Первая была описана в RFC 1827, и в этой части главы мы обсудим эту раннюю спецификацию. RFC 1827 На 9.9 приведен формат заголовка ESP в соответствии с RFC 1827. Он состоит из поля SPI и непрозрачных данных. Поле SPI определяет...

Что и как делает ESP Уже знакомый вам протокол «Вложенные защищенные передаваемые данные IР» (IP Encapsulating Security Payload — ESP) является механизмом обеспечения сохранности и конфиденциальности датаграмм IP. Кроме того, ESP может быть использован для удостоверения происхождения данных, в зависимости от используемых алгоритмов. Безотказность работы и защита анализом данных не предусмотрены...

АН задается при помощи значения поля Идентификатор Протокола, которое устанавливается равным 51. Все поля его заголовка включаются в значение проверки сохранности (объясняется чуть позже). Эти поля предназначены для выполнения следующих функций...

Защита АН показана защита пакета АН в транспортном режиме при использовании IPv4. В этом режиме АН вставляется после IP-заголовка и перед протоколом верхнего уровня (Upper-Llevel Protocol — ULP), например TCP, UDP, ICMP и т. д., или перед любым другим уже вставленным заголовком IPSec. В контексте IPv4 это означает, что АН помещается после заголовка IP (и любых содержащихся в нем настроек), но перед протоколом верхнего уровня. Термин...

Если значение поля может быть изменено в процессе передачи, то при вычислении ICV это значение приравнивается к нулю. Если поле меняется, но его значение у получателя может быть предсказано, тогда это значение присваивается с тем, чтобы можно было посчитать ICV. Поле идентификации данных также устанавливается в ноль перед этими вычислениями...